WordPress: Neuer Exploit kann auch Version 2.0.6. betreffen
Nach den kürzlich bekannt gewordenen Sicherheitslücken in WordPress 2.0.5. und der sehr zügigen Veröffentlichung des Updates 2.0.6. wurde nun eine weitere Schwachstelle entdeckt, die unter bestimmten Voraussetzungen auch der neuesten WP-Version gefährlich werden kann.
Das Problem liegt in diesem Fall allerdings nicht originär bei WordPress sondern beruht auf einem Fehler in den (ungefixten) PHP Versionen < 4.4.3. bzw. < 5.1.4. Panik machen gilt also nicht, sondern am besten sollte man erst mal die PHP–Version auf dem Webhost überprüfen. Am besten mit der guten alten phpinfo.php, einfach eine Textdatei mit folgendem Inhalt anlegen:
< ?php
phpinfo();
?>
als phpinfo.php sichern und auf dem Webspace laden. Dann per domain.de/phpinfo.php (oder ähnlich) aufrufen und die Version überprüfen.
Sollte es sich um eine der fehlerhaften Versionen handeln (siehe oben), sollte man seinen Hoster kontaktieren und ihn bitten, die Variable register_globals auf off zu setzen. Der Exploit funktioniert nämlich nur, wenn diese auf on steht. Bei der Gelegenheit sollte der Hoster mal gleich eine neuere PHP–Version einspielen, denn der Fehler wirkt sich sicher auch auf andere Webanwendungen aus. Wahrscheinlich sind diese PHP–Versionen (ungefixt) aber ohnehin selten anzutreffen.
—-
Unabhängig davon steht nun doch das Mini-Update auf Version 2.0.7. in der Pipeline, mit dem u.a. die Probleme mit Feedburner behoben werden. Ob in irgendeiner Form auf diesen neuen Exploit reagiert wird ist unklar.
Steffen Giers
12.01.2007
00:18 CET
Danke für deine Infos John! Mal am rande bemerkt: User die ein Webhostingprodukt bei Host Europe besitzen, können
register_globals offselber setzten! Einfach nach —> Administration > Webhosting > Dein Paketname > Skripte > Skript-Einstellungen gehen und dann den entsprechenden Punkt auswählen.Finde ich persönlich klasse… jedenfalls wenn man weiß was man tut ;)
John
12.01.2007
00:25 CET
Danke Dir für die Info, Steffen! Ich schwöre ja seit Jahren auf Hosteurope. Das ist also ein weiterer Pluspunkt. :-)
register_globals ist bei Hosteurope übrigens standardmäßig off.
WordPress Sicherheitslücke nach Update auf 2.0.6 | bueltge.de [by:ltge.de]
12.01.2007
12:15 CET
[…] Nach dem vor kurzem das Update auf 2.0.6 veröffentlicht wurde, gibt es erneut Probleme, wobei es diesmal an einem PHP–Problem liegt. Weitere Hinweise und mögliche Berichtigungen mit register_globals sind unter anderem bei Jowra, Michael und Robert zu finden. […]
WordPress 2.0.7. - Jowra | Webdesign - Photo - Artwork
16.01.2007
02:24 CET
[…] 10 Tage nach Version 2.0.6. erschien heute die nächste WordPress-Fassung 2.0.7., welche die kürzlich genannten Probleme behebt (PHP–Sicherheitslücke, Feed-Probleme). We know it sucks to have a release only 10 days after our last one, but we think it’s important enough for your blog to be secure to do it, and hopefully only having to change a few files will make the upgrade easier than normal. […]
Wordpress 2.0.7 DE Upgrade sicherheitsrelevant! - SEO Marketing Blog
16.01.2007
15:23 CET
[…] Immerhin habe ich bei der Gelegenheit die verschiedenen Upgrade-Möglichkeiten ausführlich testen können, da ich in der ersten Upgrade-Runde WP-Blogs von Version 2.0.1 bis 2.0.6 aktualisiert habe. Hatte bei einigen Blogs einfach “auf Zeit gespielt”, nachdem sehr schnell bekannt wurde, daß die Version 2.0.6 einige Fehler enthielt ;-) Getreu dem Motto “no risk, no fun” habe ich nur bei dem SEO Blog hier ein Datenbank-Backup vor dem Upgrade gemacht – bei allen anderen habe ich nur die per FTP erreichbaren Dateien gesichert. Bitte nicht nachmachen – auch wenn bei mir glücklicherweise alles reibungslos geklappt hat ;-) Sowohl das deutsche Komplettpaket der Version 2.0.7, als auch 2 Upgrade Pakete von 2.0.5 & 2.0.6 auf die neue Version 2.0.7 gibt es bereits auch auf deutsch zum Download. Nachdem ich zuerst 2 Blogs von 2.0.5 & 2.06 nur mit den Austauschdateien geupgradet hatte, ist mir ein kleiner Nachlässigkeitsfehler bei dem ersten Komplett-Upgrade aller Dateien mit der Latest-Version passiert, da ich die wp-config.php versehentlich überschrieben hatte. Vielleicht hilft es ja jemandem, dem nicht gleich klar ist, was passiert ist, wenn WP nur meldet, daß keine Datenbankverbindung hergestellt werden kann. Vor dem Update mit der “latest” Komplett-Version einfach die wp-config.php vor dem Überspielen per FTP offline löschen ;-) Wenn die Meldung bereits angezeigt wird, die vorher hoffentlich gesicherte alte wp-config.php wieder hochladen (wegen derartiger “Events” sichere ich zumindest die per FTP verfügbaren Dateien) und die Fehlerseite reloaden – thats it … Bei der Gelegenheit wurde übrigens auch eine neue deutsche Upgrade-Anleitung von Wordpress zur Verfügung gestellt. […]